O ransomware se tornou um grande desafio para as organizações. Embora não seja a ameaça mais avançada do ponto de vista técnico, ainda não está claro o que as organizações devem fazer para se proteger dela. Antigamente, as campanhas eram massivas, mas hoje elas visam empresas e órgãos públicos selecionados e previamente escolhem os alvos na intenção de obter uma chance maior de sucesso nos ataques.
Para ajudar a entender como o ecossistema de ransomware opera e como combatê-lo, os pesquisadores da Kaspersky se infiltraram em fóruns da darknet e analisaram em profundidade a atuação de grupos como REvil, Babuk e DarkSide para identificar suas táticas.
Ao contrário do que muitos acreditavam, estes ataques não são realizados por gangues, o atual ecossistema do ransomware se profissionalizou e é composto por muitos participantes, tendo até quem se especialize em determinada função. Há quem trabalhe com o desenvolvimento do malware, os donos das redes robôs (botmasters) que automatizam o processo de infecção, quem vende acesso às redes corporativas e há os operadores do ransomware – e cada um deles prestam serviços uns aos outros.
Esses criminosos se encontram em grupos especializados na darknet para realizar as negociações, onde é possível encontrar anúncios com atualização periódica. Este tipo de envolvimento indica que existe uma parceria entre o operador do grupo de ransomware e seus afiliados – sendo que o operador fica com 20%-40% dos lucros enquanto os 60-80% restantes são divididos com os afiliados.
Um relatório da Kaspersky destaca que, entre 2019 e 2020, a quantidade de clientes que tiveram uma tentativas de ataques de ransomware direcionado aumentou 767%. Quanto maior o tamanho da empresa, mais frequente é a tentativa de ataque, já que esta operação é sofisticada e pede um pagamento maior para o resgate. Os setores mais visados são o industrial, as agências governamentais e organizações de saúde
Enquanto os ataques direcionados crescem em todo o mundo, a empresa de segurança notou uma queda de 29% no número total de usuários afetados pelas demais famílias de ransomware. Apesar deste declínio, existe ainda um ataque popular: o WannaCry, que ainda está em circulação. Ele representa 16% das detecções realizadas em 2020 e é o trojan responsável pela maior epidemia de ransomware, que aconteceu em maio de 2017, e que causou um prejuízo de pelo menos US$ 4 bilhões em 150 países.
"Estamos testemunhando uma grande transformação na forma que os grupos de ransomware operam – e o único motivo para essa mudança é o lucro. Atualmente, estes cibercriminosos têm muito dinheiro para financiar o trabalho de reconhecimento prévio, que é realizado nas redes das potenciais vítimas. Este é um negócio muito lucrativo, ao ponto de poder dividi-lo entre parceiros e afiliados. Para diminuir a quantidade de ataques, precisamos interromper o fluxo financeiro desse ecossistema. A única maneira de fazer isso é não pagar o resgate", destaca Fabio Assolini, analista sênior da Kaspersky no Brasil.
Uma dessas análise detalhadas dos grupos de ransomware feita pelos especialistas da Kaspersky permitiu listar cinco exemplos claros de como os ataques de ransomware se renovaram, tornando-se mais direcionados e igualmente perigosos:
- Uso da imprensa para informar os ataques realizados: o Darkside, por exemplo, faz contato com a imprensa ativamente. O site do grupo parece uma central de mídia organizada, para permitir que jornalistas façam perguntas e recebam informações exclusivas dos ataques, bem como possibilitando que saibam quando os próximos casos serão publicados. Na verdade, o objetivo do grupo é alcançar maior repercussão para cobrar um pagamento maior.
- Parcerias com empresas terceirizadas de descriptografia: os grupos de ransomware têm colaborado com empresas que prestam esse tipo de serviço, evidenciando a metodologia, já que muitas das vítimas são proibidas de entrar em negociações com os cibercriminosos. Esse método criou uma demanda para esses intermediários, que oferecem serviços de descriptografia de dados.
- Doações para a caridade: o ransomware Darkside, por exemplo, diz realizar doações de parte de sua renda para instituições beneficentes. Assim, mostram para as pessoas que não querem financiar o cibercrime e que uma parcela do dinheiro das vítimas vai para uma boa causa. No entanto, vale lembrar que algumas instituições beneficentes são proibidas de aceitar dinheiro ilícito, onde esses pagamentos ficariam congelados.
- "Business analytics": os cibercriminosos agora analisam cuidadosamente os dados roubados e o mercado em que as vítimas atuam. Antes de publicar informações, estudam os contratos da empresa e identificam clientes, parceiros e concorrentes conhecidos. Especialistas da Kaspersky informam que o principal objetivo disso é maximizar os prejuízos da vítima para intimidá-la e aumentar as chances de conseguir receber o valor do resgate.
- Declaração de princípios éticos: o ransomware Darkside diz possuir seu próprio código de ética, assim como as grandes corporações reais. O grupo alega nunca atacar empresas médicas, serviços funerários, instituições educacionais, organizações sem fins lucrativos ou empresas do governo, porém sabemos que nem sempre essas regras são respeitadas.
A Kaspersky reforça que a melhor prevenção para este tipo de ataque é a realização de cópias de segurança (backup) de todos os dados corporativos e a adoção de uma proteção adequada para evitá-lo.
